On savait déjà que des acteurs malhonnêtes délivraient de faux certificats de vaccination contre le coronavirus mais un nouveau phénomène a fait son apparition aux Pays-Bas : une fausse application de scannage. L'application normale scanne le code QR du Covid safe ticket et indique si son titulaire est ou non vacciné (cf. https://nos.nl/artikel/2405316-ook-vervalste-scanner-app-coronacheck-in-omloop ).

La fausse application de scannage détectée aux Pays-Bas émet un signal vert pour tous les codes QR scannés, même si le certificat est périmé ou bloqué et même pour des codes qui ne sont pas compatibles avec l'application «CoronaCheck». Selon ses concepteurs, cette fausse application est destinée aux entrepreneurs qui ne veulent pas «exclure» des gens. Lorsqu'elle scanne un code QR légitime, la fausse application de scannage affiche même les bonnes initiales de ses titulaires, promettent les concepteurs.

Le ministère néerlandais de la Santé publique souligne que les agents des forces de l'ordre peuvent vérifier si les entrepreneurs utilisent bien la bonne application de scannage, mais pour un œil non averti, la différence est à peine perceptible, d'autant plus que même l'icône de la vraie application est contrefaite.

Aux Pays-Bas, la distribution de l'application n'est pas illégale, mais son utilisation bien. De plus, les entrepreneurs sont tenus de télécharger une application officielle pour scanner les codes QR.

En ce qui concerne le caractère transversal de la question : la présente question écrite traite à la fois de santé, de respect de la vie privée, de TIC et de justice et est donc de nature transversale.

Je souhaiterais dès lors poser au ministre les questions suivantes:

1) A-t-on connaissance de cas d'utilisation de faux scanners de Covid safe ticket par des entrepreneurs en Belgique ? Si oui, à combien d'arrestations a-t-on déjà procédé ? À partir d'où les contrevenants opéraient-ils ? De quel type d'entreprises s'agissait-il ? Quel était leur mobile ?

2) Parallèlement à l'interdiction des certificats falsifiés, développe-t-on actuellement des stratégies pour lutter contre les fausses applications de scannage ? Si oui, en quoi consistent-elles ? Qui est chargé de leur coordination ? Quels en sont les coûts ? Si non, pourquoi la lutte contre ces fausses applications n'est-elle pas une priorité ?

3) De quelle manière agit-on actuellement contre les personnes suspectées d'utiliser ces fausses applications de scannage ? De quelles sanctions ou amendes sont-elles passibles ? Jugez-vous cette approche suffisante ? Pourquoi ? Pouvez-vous en détailler les raisons ?

4) Quel est le statut légal de ces fausses applications ? L'interdiction porte-t-elle seulement sur leur utilisation, comme aux Pays-Bas, ou bien leur détention est-elle, elle aussi, illégale ? Dans quelle mesure les fabricants de cette application peuvent-ils être poursuivis ? Quel est le statut légal des applications «concurrentes» capables de scanner des codes QR ?

5) Ces applications frauduleuses constituent-elles, selon vous, un problème pour la protection de la vie privée ? Si oui, dans quelle mesure et de quelle manière ?

6) Comment les forces de l'ordre peuvent-elles mieux s'armer, lors des inspections, contre ce type de pratiques frauduleuses qui ne sont pas toujours perceptibles à première vue ? Pouvez-vous dire si les agents de nos forces de l'ordre se sont déjà familiarisés avec ces fausses applications de scannage ?

7) Comment éviter que des entrepreneurs, inspirés par une idéologie déterminée, utilisent ce type d'applications frauduleuses ? Dans quelle mesure certaines organisations, comme le VOKA, Horeca Vlaanderen, etc., peuvent-elles contribuer à la lutte contre ce phénomène ?

1) En réponse à la question 1), je peux vous indiquer que la banque centrale de données statistiques du Collège des procureurs généraux ne permet pas de répondre à la demande de données chiffrées. Il n’existe en effet aucun code de prévention spécifique concernant l’utilisation de faux scanners de covid safe tickets (CST).

2) Il convient de noter que les services de police vérifient d’ores et déjà en priorité et de manière active si les exploitants ou organisateurs contrôlent le CST. La manière dont doivent s’effectuer ces contrôles – et s’ils permettent, le cas échéant, de constater le recours à de fausses applications de scannage – est une matière devant être définie par la hiérarchie policière. Ce serait par exemple possible:

– en demandant à l’exploitant de montrer le système de contrôle CST qu’il a mis en place;

– en vérifiant que l’exploitant dispose bien de l’application de vérification du CST;

– en demandant à l’exploitant comment il procède au contrôle;

– en demandant aux employés s’ils ont reçu des instructions en ce qui concerne le contrôle;

– en demandant à l’exploitant de produire la liste des personnes chargées d’opérer le contrôle.

3) Cette question n’appelle actuellement aucune réponse dès lors qu’aucun cas n’est connu. Mais de tels faits sont punissables d’un emprisonnement de six mois à cinq ans ou d’une amende de vingt-six euros à cent mille euros.

4) L’utilisation de ces fausses applications de scannage peut constituer une infraction à l’article 210bis du Code pénal, relatif au faux en informatique, ce qui implique que l’appareil est également réellement utilisé:

«Art. 210Bis. § 1^er. Celui qui commet un faux, en introduisant dans un système informatique, en modifiant ou effaçant des données, qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l’utilisation possible des données dans un système informatique, et par là modifie la portée juridique de telles données, est puni d’un emprisonnement de six mois à cinq ans et d’une amende de vingt-six [euros] à cent mille [euros] ou d’une de ces peines seulement.»

5) Si le faux scan se contente de colorer tous les QR codes en vert sans collecter les données des propriétaires, il n’y pas d’infraction à la loi protection des données.

S’il apparaissait que le faux scan, en faisant apparaître les initiales, collecte en outre des données à caractère personnel, cette collecte illégale peut être sanctionnée par le RGPD (règlement général sur la protection des données – directive 95/46/CE) d’une amende pouvant aller jusqu’à 20 millions d’euros.

Dans l’appréciation de l’infraction, il faudra voir si la collecte ne dure que quelques secondes, le temps de faire apparaitre les initiales ou si les données sont conservées plus longtemps par l’appareil.

À noter que le vrai scan ne conserve pas les données: la «déclaration de confidentialité concernant le traitement de données et la protection des données dans le cadre du certificat Covid numérique de l’UE COVIDSCAN.BE AP» souligne en effet qu’aucune donnée n’est conservée sur l’appareil. Les données sont uniquement utilisées pour visualiser le contenu du code QR présenté et vérifier l’authenticité du certificat.

6) Cette question relève de la compétence de ma collègue la ministre de l’Intérieur.

7) Cette question relève de la compétence de mon collègue le ministre de l’Économie.